Cyberattaques contre l'État : 200 millions d'euros débloqués d'urgence et une nouvelle gouvernance numérique
Alors qu'une série d'attaques informatiques ont frappé l'ANTS puis l'ANFR, le Premier ministre, Sébastien Lecornu, a annoncé jeudi 30 avril 2026 un plan en trois volets : déblocage de 200 millions d'euros, création d'une autorité numérique de l'État et renforcement de la doctrine de cyberdéfense. Des mesures jugées nécessaires mais insuffisantes par la ministre déléguée au Numérique.
© Capture vidéo @gouvernementFR/ Anne Le Hénanff, Sébastien Lecornu et Laurent Nuñez
La cyberattaque du 15 avril 2026 contre l'Agence nationale des titres sécurisés (ANTS) a mis en lumière une vulnérabilité structurelle des systèmes d'information de l'État. Les données de près de 12 millions de particuliers et de professionnels ont été concernées — noms, prénoms, adresses électroniques, dates de naissance —, a rappelé le ministère de l'Intérieur dans un communiqué du 30 avril 2026. Un mineur de 15 ans, soupçonné d'en être l'auteur, a depuis été interpellé. Ce dernier aurait exploité une faille dite Idor (Insecure Direct Object Reference), qualifiée de "vraiment stupide" par l'attaquant lui-même dans un message posté sur un forum cybercriminel, selon le site Numerama. Ce type de vulnérabilité, pourtant vieux comme le web et documenté depuis des décennies dans les référentiels de sécurité informatique, permet d'accéder aux données d'autres utilisateurs en modifiant simplement un identifiant dans les requêtes envoyées à une application, sans qu'aucun contrôle d'autorisation ne soit effectué côté serveur. En automatisant ce procédé élémentaire, il suffit de quelques heures pour aspirer des millions d'enregistrements.
L'ANTS n'est pas la seule agence publique touchée ce mois d'avril. L'Agence nationale des fréquences (ANFR) a, elle aussi, subi une intrusion détectée le 13 avril, ayant permis l'exfiltration de données personnelles d'usagers de son téléservice Radiomaritime entre le 4 et le 10 avril. En l'occurrence, les données exfiltrées incluent les noms, prénoms, adresses postales, numéros de téléphone, adresses email et dates de naissance d'environ 330.000 usagers. L'Anssi a signalé une mise en vente de ces données avec la publication en ligne d'un extrait, tandis que l'ANFR a notifié la Cnil et déposé une plainte auprès du procureur de la République.
L'épisode n'est pas isolé : depuis le début de l'année 2026, la France enregistrerait en moyenne trois vols de données par jour, ce qui représente, selon Sébastien Lecornu, "un casse du siècle qui a pratiquement lieu tous les mois". C'est dans ce contexte que le Premier ministre s'est rendu jeudi 30 avril dans les locaux de l'ANTS pour annoncer un plan d'action articulé autour de trois axes.
Une nouvelle autorité numérique et des moyens financiers renforcés
Premier volet : la gouvernance. Selon le communiqué du ministère de l'Intérieur, la direction interministérielle du numérique (Dinum) et la direction interministérielle de la transformation publique (DITP) seront fusionnées pour donner naissance à une "autorité numérique de l'État", directement rattachée au Premier ministre. Cette nouvelle entité sera chargée de standardiser et de sécuriser les infrastructures numériques des ministères.
Deuxième volet : les moyens financiers. Trois leviers sont mobilisés. Le premier est immédiat : 200 millions d'euros seront débloqués dans le cadre du programme France 2030 pour financer des investissements dans les applications, les outils de détection et la cryptographie post-quantique. Le deuxième est structurel : l'ensemble des amendes prononcées par la Cnil sera affecté à un fonds dédié à la modernisation des infrastructures numériques de l'État, une mesure portée dans le prochain projet de loi de finances. Le troisième est pérenne : à partir de 2027, 5% des budgets numériques de chaque ministère devra être consacré à la cybersécurité.
Troisième volet : la doctrine. Des instructions ont été données aux services de sécurité de l'État pour procéder à des exercices "d'auto-attaque", c'est-à-dire tester leurs propres vulnérabilités afin d'identifier les failles avant les adversaires. Le recours à l'intelligence artificielle pour la détection des vulnérabilités est également annoncé.
"Une mesure d'urgence" aux yeux de la ministre du Numérique
Ces annonces ont été accueillies avec prudence par Anne Le Hénanff, ministre déléguée chargée de l'intelligence artificielle et du numérique. Interrogée lundi 4 mai sur France Inter, elle a reconnu que les 200 millions d'euros constituent "une mesure d'urgence" mais "ne suffiront pas". Elle a pointé le sous-investissement chronique des ministères en matière de cybersécurité : "Ça peut aller dans certains ministères de 1%, ce qui est extrêmement faible, à 5%, ce qui n'est également pas énorme", rappelant que le niveau minimal exigé se situe à 10% du budget informatique.
Les fonds débloqués permettront dans un premier temps de financer des "audits flash" dans chaque ministère afin de mesurer les vulnérabilités, et d'engager une mise à niveau de la protection des systèmes d'information, des réseaux et des données personnelles des citoyens. La ministre a également souligné que le défi est permanent : les vulnérabilités informatiques "changent tous les jours, les cyberattaquants utilisant de nouvelles failles".
Pour les collectivités territoriales, souvent moins bien dotées que les services de l'État central, ces annonces soulèvent une question de fond : dans quelle mesure la nouvelle autorité numérique et les crédits mobilisés bénéficieront-ils également aux acteurs locaux, fréquemment visés par des attaques par rançongiciel ? La réponse devrait se préciser lors de l'examen du prochain projet de loi de finances.
